情報セキュリティ対策を, “技術的セキュリティ対策”, “人的セキュリティ対策” 及び“物理的セキュリティ対策”に分類したとき, “物理的セキュリティ対策”の例として, 適切なものはどれか。

イサーバ室, 執務室などの場所ごとにセキュリティレベルを設定し, 従業員ごとのアクセス権が付与されたICカードで入退室管理を行う。

令和7年度 ITパスポート試験公開問題問88 解説物理的セキュリティ対策

この問題の解き方のポイントは、「物理的セキュリティ対策」が具体的にどのような対策を指すのかを理解することです。情報セキュリティ対策は、技術的、人的、物理的の3つに分類されます。それぞれの分類でどのような対策が含まれるかを把握しておけば、正解を導き出すことができます。

情報セキュリティ対策は、その性質によって大きく3つに分類されます。

技術的セキュリティ対策: ソフトウェアやハードウェア、ネットワークといったITシステムそのものに施される対策です。例えば、ファイアウォール、侵入検知システム（IDS）、暗号化、ウイルス対策ソフト、アクセスログの取得・分析などがこれにあたります。
人的セキュリティ対策: 組織で働く人に関わる対策です。情報セキュリティに関する教育・訓練、就業規則や秘密保持契約の策定、退職時のアカウント削除などが含まれます。情報漏洩の原因の多くが人為的なミスや不正であることを考えると、非常に重要な対策です。
物理的セキュリティ対策: 建物や設備といった物理的な環境に対する対策です。不正な侵入や盗難、災害から情報資産を守ることを目的とします。入退室管理システム、監視カメラ、施錠、サーバ室への入構制限などが代表的です。

これらの知識を踏まえて、各選択肢を見てみましょう。

ア: 「Webサーバへのアクセスログを取得し、必要に応じて通信を遮断する」というのは、システム（Webサーバ）の機能やネットワークの制御を利用した対策です。これは技術的セキュリティ対策に該当します。
イ: 「サーバ室, 執務室などの場所ごとにセキュリティレベルを設定し, 従業員ごとのアクセス権が付与されたICカードで入退室管理を行う」というのは、建物や部屋といった物理的な空間へのアクセスを管理する対策です。ICカードによる入退室管理は、まさに物理的セキュリティ対策の典型例です。
ウ: 「従業員の採用時には, 守秘義務に関する契約書を取り交わし, 在籍中は機密情報の取扱いに関する教育, 啓発を実施する」というのは、従業員という「人」に対する教育や契約による対策です。これは人的セキュリティ対策に該当します。
エ: 「退職者が, 在籍中のアカウントを用いた不正アクセスを行わないように, 従業員の退職時にアカウントを削除する」というのは、システム上のアカウント管理に関する対策です。これは技術的セキュリティ対策に該当します。

したがって、選択肢イが「物理的セキュリティ対策」の例として最も適切です。

物理的セキュリティ対策は、情報セキュリティの基盤となるものです。いくら高度な技術的対策や厳格な人的対策を講じていても、サーバ室に誰でも自由に出入りできてしまったり、重要な機器が盗難されたりしては、それらの対策が無意味になってしまいます。

例えば、サーバ室への入退室管理が不十分だと、不正な人間がサーバに物理的にアクセスし、データを盗んだり、システムを破壊したりする可能性があります。ICカード認証や生体認証、監視カメラの設置、警備員の配置などは、こうした物理的な脅威から情報資産を守るために不可欠な対策なのです。

この問題は、情報セキュリティ対策を多角的に捉え、それぞれの対策がどのカテゴリに属するのかを正しく理解しているかを確認するためのものです。ITパスポート試験では、このように基本的な概念を具体的な状況に当てはめて理解する能力が問われます。